ФБР делится техническими подробностями вымогателя Hive

32
Atlassian Trello не работает - второй сбой на этой неделе

Федеральное бюро расследований (ФБР) опубликовало некоторые технические подробности и индикаторы компрометации, связанной с атаками программ-вымогателей Hive.

В редких случаях ФБР включало ссылку на сайт утечки, где банда вымогателей публикует данные, украденные у компаний, которые не платили.

Разнообразные тактики и приемы

По данным ФБР, программа-вымогатель Hive использует разнообразный набор тактик, техник и процедур, что затрудняет защиту организаций от ее атак.

Среди методов, которые банда использует для получения начального доступа и горизонтального перемещения по сети, есть фишинговые электронные письма с вредоносными вложениями и протокол удаленного рабочего стола (RDP).

Перед развертыванием процедуры шифрования программа-вымогатель Hive крадет файлы, которые они считают ценными, чтобы заставить жертву заплатить выкуп под угрозой утечки данных.

ФБР сообщает, что злоумышленник ищет процессы для резервного копирования, копирования файлов и решения безопасности (например, Защитник Windows), которые могут помешать задаче шифрования данных, и завершают их.

За этим этапом следует удаление сценария hive.bat, который выполняет процедуру очистки, удаляя себя после удаления исполняемого файла вредоносной программы Hive.

Другой сценарий, называемый shadow.bat, выполняет задачу удаления теневых копий, файлов резервных копий и снимков состояния системы, а затем удаляет себя со скомпрометированного хоста.

ФБР сообщает, что некоторые жертвы вымогателей Hive сообщили, что злоумышленник связался с ними и попросил их заплатить выкуп в обмен на украденные файлы.

«Первоначальный срок оплаты колеблется от 2 до 6 дней, но актеры продлили этот срок в ответ на контакт со стороны компании-жертвы», – отмечает агентство в своем бюллетене Flash.

Наряду с индикаторами компрометации (IoC) ФБР также предоставляет ссылку на сайт утечки злоумышленника, деталь, которая обычно скрывается в технических отчетах.

Некоторые из файлов, наблюдаемых при атаках программ-вымогателей Hive, включают следующее:

  • Winlo.exe – используется для удаления 7zG.exe, законной версии архиватора файлов 7-Zip.
  • 7zG.exe – версия 19.0.0 архиватора файлов 7-Zip
  • Winlo_dump_64_SCY.exe – используется для шифрования файлов с расширением .KEY и для удаления записки о выкупе HOW_TO_DECRYPT.txt

ФБР отмечает, что злоумышленник также полагается на службы обмена файлами, многие из которых анонимны, такие как Anonfiles, MEGA, Send.Exploit, Ufile или SendSpace.

Хотя это было впервые замечено в конце июня, этим летом программа-вымогатель Hive уже взломала более 30 организаций, и в это число входят только жертвы, которые отказались платить выкуп.

Недавняя жертва программы-вымогателя Hive – Memorial Health System , предлагающая сеть услуг, в которую входят три больницы и поставщиков, представляющих 64 клиники.

Из файлов, которые видел BleepingComputer, злоумышленник похитил базы данных, содержащие информацию, принадлежащую более чем 200 000 пациентов.

ФБР не рекомендует платить злоумышленникам, чтобы они отговорили их от продолжения деятельности. Кроме того, нет никакой гарантии, что злоумышленник уничтожит украденные данные вместо того, чтобы продать или передать их другим преступникам.

Независимо от решения жертвы вымогателя платить или нет, ФБР призывает компании сообщать об инцидентах, связанных с вымогательством, в местный полевой офис, чтобы помочь следователям получить важную информацию для отслеживания злоумышленников, «привлечь их к ответственности в соответствии с законодательством США и предотвратить будущие атаки».

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here